← Tilbage til WindowsHelper

Sikkerhedsmodel

Hvordan WindowsHelper beskytter din pc + din telefon, hvilken kryptografi vi bruger, og hvad vi udtrykkeligt ikke forsvarer os imod. Sidst opdateret: 2026-04-25.

rapportering af en sårbarhed

E-mail support@windowshelper.app med emne [security]. Undlad venligst at åbne offentlige GitHub-problemer - giv os et vindue til at sende en rettelse før offentliggørelse.

Parringskodes livscyklus

Parringskoden er delt hemmelighed hver anden kryptooperation stammer fra. Den fulde livscyklus:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Kryptografi

AES-256-GCM (kommandofortrolighed + integritet)

Hver kommando, der sendes over ledningen, er krypteret med AES-256-GCM, en autentificeret krypteringstilstand.

HMAC-SHA256 (kommandoægthed)

Hver kommando bærer også en HMAC-signatur, så en telefon, der ikke kender parringskoden, kan ikke injicere kommandoer, selvom den kan skrive til Firestore.

Trusselsmodel

TrusselStatusNoter
Aflytning på det lokale netværkAfbødetAES-GCM chiffertekst er uigennemsigtig for MITM-observatører.
Aflytning på Firestore-servereAfbødetGoogle sees AESGCM:... blobs, not commands.
Angriber, der kan skrive til Firestore, men ikke kender kodenAfbødetHMAC-verifikation mislykkes; ledsager logger afvisningen + nægter eksekvering.
Angriber, der knækkede/phishede parringskodenRestDe kan udstede kommandoer, som om de var brugeren. Afhjælpning: Roter koden fra bakkemenuen.
Genafspilning af en optaget kommandoRestsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-tilstand uautoriseret angriberAfbødetWebSocket par-håndtryk validerer koden; HMAC + AES gate hver efterfølgende kommando.
Kompromitteret telefon med stjålet parringsnøgleRestKan ikke skelnes fra "brugeren selv." Afhjælpning: hastighedsgrænse (10 cmd/min) + destruktiv kommandobekræftelse kræver klik på pc-siden.
Forkert kommando fra telefonappenAfbødetTilladelsesliste på telefonen blokerer ukendte præfikser; companion-side pre-flight blokeringskommandoer rettet mod ikke-eksisterende tjenester.
Destruktiv kommando køres ved et uheldAfbødetCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hung / runaway PowerShell-procesAfbødetHård 5-minutters timeout dræber hele procestræet.
Companion .exe manipulation mellem download og kørselAfbødetSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion nedbrudslækkende følsom tilstandAfbødetNedbrudsrapporter + Firestore-fejlskrivninger renses %USERPROFILE% / %MACHINE% / %USER%.
Stjålet enhed, vedvarende registreringsdatabasenøgleRestEn angriber med disk + login-adgang kunne læse den vedvarende kode. Fremtidig rettelse omslutter det med Windows DPAPI.

Uden for rækkevidde

Ting, som WindowsHelper eksplicit gør ikke forsvare mod:

Afsløring